نوشته‌شده در

TLS – چگونه یک گواهی SSL می تواند قدرت رمزگذاری را کاهش دهد

من یک صفحه از Digicert پیدا کردم که بسیار گیج کننده بود.

https://www.digicert.com/compare-and-buy-ssl-certificates/

در بخش "مشخصات فنی" ، آن را "رمزنگاری 256 بیت متقارن" ذکر شده است
مشخصات فنی Digicert
به نظر من، گواهی SSL تنها برای تأیید هویت سرور استفاده می شود. قدرت رمزگذاری مربوط به پیکربندی سرور است.

به عنوان مثال، من چند CipherSuites را لیست میکنم:

TLS_ECDHE_ ECDSA _WITH_AES_128_GCM_SHA256
TLS_ECDHE_ RSA _WITH_AES_128_GCM_SHA256
TLS_DHE_ RSA _WITH_AES_128_CBC_SHA
TLS_ RSA _WITH_3DES_EDE_CBC_SHA

گواهی SSL فقط باید مشخص کند آیا متن پررنگ "RSA" یا "ECDSA" است. و دیگر روش KeyExchange و Encryption باید در هنگام دست یافتن به SSL تعیین شود.

نامهای روش واقعی رمزنگاری متقارن پس از «_WITH_»

سپس سوال من این است که چگونه یک گواهی SSL میتواند قدرت رمزگذاری متقارن را تعیین کند؟ آیا باید توسط پیکربندی سرور تعیین شود؟

متاسفم برای من فقیر انگلیسی ….

نوشته‌شده در

شفافیت گواهی چگونه اجرا می شود؟

آیا کروم از گواهینامه های شرکتها (یا "داخلی") توسط کروم رد می شود؟

این در حال حاضر در جمله دقیق شما ذکر شده پاسخ داده شده است: "… نیاز به شفافیت گواهی برای همه تازه صادر شده، به طور عمومی اعتبار گواهی ". از آنجا که CA داخلی به طور عمومی قابل اعتماد نیست، هیچ شفافیت گواهی برای این مورد نیاز نخواهد بود.

آیا هر گواهی که توسط مرورگر مشاهده می شود، پرس و جو به سرور CT گوگل را نشان می دهد؟

شفافیت گواهی در Chrome روند تأیید را به شرح زیر شرح می دهد: 19659003] کروم ممکن است بررسی کند که یک SCT توسط CT Log که آن را صادر کرده است، احترام گذاشته شده است، یعنی که گواهی مربوطه در واقع این نشریه CT منتشر شده است. … کروم این کار را با ارسال یک پرس و جو DNS به طور خاصی انجام می دهد که درخواست ورودی را از ورود به سیستم نشان می دهد. استفاده از DNS اجازه می دهد تا کاربر از دیدگاه CT ورود ناشناخته باقی بماند و امکان تایپ محتویات را در آن ذخیره کند.

از درک من همیشه اگر اطلاعات CT مورد نیاز در گواهینامه باشد، بررسی خواهد شد. اما من فکر نمی کنم که این بدان معناست که همیشه این اطمینان را می گیرد که این اطلاعات درست هستند و در CT logs منعکس می شوند. حدس من این است که آن را همیشه، اما اغلب به اندازه کافی، بررسی خواهد شد به طوری که گواهینامه های اطلاعات CT جعلی شناسایی شده است.

نوشته‌شده در

از کجا برای دریافت گواهینامه ریشه CA کجاست؟

آیا مکان مشترک وجود دارد که ما می توانیم تمام مراجع CA ریشه را دانلود کنیم و به روز رسانی های مکرر برای تغییرات را دریافت کنیم؟ این یک مکان است که ما می توانیم CA ها را پیدا کنیم، اما ما باید برای به روزرسانی ها باقی بمانیم. آیا مکان مشترک دیگری از این وجود دارد؟

نوشته‌شده در

شبکه – چرا TLS هنوز هم به عنوان SSL نامیده می شود؟

بهترین پست وبلاگ که در مورد این مطلب خوانده ام، به طور خلاصه بیان می کند که اگر چه TLS به طور موقت SSL را 19 سال پیش جایگزین SSL کرد، TLS هنوز به عنوان SSL نامیده می شود زیرا SSL شناخته شده است که "به معنای بهتر" را از TLS .

این بیشتر توسط شرکت های شناخته شده هنوز هم با استفاده از کنفرانس نامگذاری SSL در محصولات و خدمات خود (به عنوان مثال OpenSSL، ژنراتور پیکربندی موزیلا SSL، SSL آزمایشگاه SSL آزمون) پشتیبانی می کند.

همچنین به نظر می رسد این سوال ممکن است در حال حاضر در اینجا حل و فصل شد و بسته به دلیل آن است که عمدتا مبتنی بر نظر.

نوشته‌شده در

TLS – تولید گواهی ها با openssl – بهینه سازی

گواهی های خودم را برای یک سیستم داخلی ایجاد می کنم:

  • گواهی ریشه برای صدور گواهینامه
  • برای سرور وب،
  • گواهی نامه برای مشتریان،
  • امضای کد،
  • و غیره [19659007] معماری سرور چربی (خدمات مایکروسافت IIS WCF) و مشتریان نازک (برنامه های کاربردی دسک تاپ مایکروسافت WPF) است. سرور فقط در https قابل دسترسی است و مشتریان باید خود را با گواهی مشتری تأیید کنند.

    این اسکریپت من است: 

     1. گواهی ریشه را ایجاد کنید
    openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits: 2048 -aes-256-cbc-pass pass: AbmDF5XU -out "Acme Root.key"
    openssl req -new -x509 -days 24854 -subj "/ C = US / ST = / L = آستین / O = Acme Corporation / OU = / CN = Acme Root" گذرنامه: AbmDF5XU -key "Acme Root.key" - "Acme Root.cer"

2. ایجاد گواهینامه برای سرور وب (تأیید هویت سرور).
    openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits: 2048 -aes-256-cbc-pass pass: R2xEK3rT -out "Acme IIS.key"
    openssl req -new -subj "/ C = US / ST = / L = آستین / O = Acme Corporation / OU = / CN = acme" گذرنامه: R2xEK3rT -key "Acme IIS.key" -out "Acme IIS. CSR "
    openssl x509 -days 24854 -sha256 -req -in "Acme IIS.csr" -xtxtfile v3_server.ext -CA "Acme Root.cer" -CAkey "Acme Root.key" گذرنامه: AbmDF5XU -CAcreateserial -out "Acme IIS .cer "
    openssl pkcs12 -aes256 -export -inkey "Acme IIS.key" -passin pass: R2xEK3rT- در "Acme IIS.cer" گذرنامه: R2xEK3rT -out "Acme IIS.pfx"

3. ایجاد گواهینامه برای مشتری (احراز هویت مشتری).
    openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits: 2048 -aes-256-cbc -pass pass: fDWnfJYq -out "Acme Client 001.key"
    openssl req -new -subj "/ C = US / ST = / L = آستین / O = Acme Corporation / OU = / CN = Acme Client 001" گذرنامه: fDWnfJYq -key "Acme Client 001.key" -out " Acme Client 001.csr "
    openssl x509 -days 24854 -sha256 -req -in "Acme Client 001.csr" -xtxt v3_client.ext -CA "Acme Root.cer" -CAkey "Acme Root.key" گذرنامه: AbmDF5XU -CAcreateserial -out "Acme مشتری 001.cer "
    openssl pkcs12 -aes256 -export -inkey "Acme Client 001.key" -passin pass: fDWnfJYq -in "Acme Client 001.cer" -password pass: fDWnfJYq -out "Acme Client 001.pfx"

    همانگونه که می بینید، از چهار دستور برای تولید یک فایل PFX استفاده می کنم (برای مثال برای تأیید اعتبار مشتری). این کار به خوبی انجام می شود، من فقط کنجکاو هستم اگر فقط با یک دستور برای مثال انجام شود؟

    همچنین – برای تمام کارشناسان وجود دارد، اسکریپت من خوب است یا شما آن را تغییر شکل دهید؟